数据库审计需求
指标项
详细技术指标要求
架构及性能要求
软硬件一体化和标准机架式的2U设备,千兆电口≥6个,磁盘≥2T,冗余双电源,处理器:Intel I5或I5以上CPU,至少4核,主频至少3.4G,内存至少8G;可审计数据库实例数≥ 24个,支持扩展至32个。日志存储量至少40亿条。
支持旁路部署模式,部署在核心交换中,通过端口镜像方式捕获数据流量进行审计
支持在访问的数据库服务器上部署审计插件,获取数据库访问的数据流量进行审计
兼容性要求
支持Oracle、MySQL、SQLServer、DB2、Sybase、Informix等主流数据库协议的解析。
支持SQLServer2005及以上版本的加密数据库账号的解析。
支持国产数据库协议的解析。支持PostgreSQL、Greenplum、Cache等专用数据库协议的解析。
支持主流大数据平台数据库/NoSQL库的解析与审计,包括HBase、Hive、MongoDB、Elasticsearch等。
支持Hive与Kerberos集成,Hive传输加密的解析。
支持UTF-8、GBK、GB2312、UNICODE、UTF-32/16/16BE/16LE、ISO-8859-1、US-ASCII等编码方式。
支持智能识别数据库字符集编码。
支持智能识别IPv6、IPv4地址。
审计结果要求
支持实时展示当前活跃会话详情信息。包括:会话开始时间、持续时长、访问来源IP、目标服务端IP、数据库协议类型、数据库账户、SQL请求总数等。
支持审计记录完整的语句详情信息。包括:SQL执行时间、数据库账号、来源IP、来源端口、来源MAC、客户端工具名称、目标IP、目标端口、目标MAC、数据库实例名、SQL语句、执行耗时、SQL类型、SQL命令、对象名称、字段名称、SQL行数、SQL请求状态等至少18个条件进行审计。
通过对双向数据包的解析,不仅对数据库操作请求进行审计,而且还可以对数据库系统返回结果进行完整的还原和审计,包括数据库命令执行时长、执行状态、返回行数、执行的结果集等内容。
支持对超长SQL操作语句审计,可以正常记录单条长度超过3M字节的SQL语句内容。
greenplum数据库支持自动将SQL语句分为login、logout、DDL、DML、DCL、privilege等操作类型。
支持将应用访问数据与数据库访问数据综合起来进行“关联分析”,从而将应用操作准确对应到数据库的操作。
支持对非法、高危、中危、低危的数据库访问事件进行告警,并按照风险级别进行统计。
支持根据服务端IP、数据库实例名、数据库账号、客户端IP、匹配规则、操作对象、操作命令、客户端APP和SQL模板等条件的审阅规则进行批量审阅。
支持通过操作审计快速添加黑白名单、自定义规则或进行用户行为模型的更新。
支持对操作语句基于会话进行回放。
支持通过FTP、MAIL、SYSLOG和SNMP方式进行告警外发。
支持对操作语句中的IP、账号、操作、操作对象进行业务翻译,支持按照业务语句模板进行操作语句翻译。
支持通过时间、风险等级、操作命令、数据库账号、客户端IP、风险类型、操作对象名、SQL关键字、客户端APP、客户端主机、客户端主机用户名、操作类型、操作对象类型、请求状态、应用端IP、应用端用户、应用请求ID、事件类型、耗时执行、影响行数等条件进行审计检索并导出。
审计检索分析
支持对告警日志进行多维下钻分析、自定义选择图类型(饼图、柱状图),展示分析结果,支持自定义选择下级维度。
支持一键保存多维分析模型,形成自定义报表模版。
支持自动生成可视化的用户行为模型,支持自由切换模型中基线节点,显示模型中的其他基线。
安全策略要求
支持自定义黑白名单策略,匹配条件至少包括数据库账号、策略周期、来源IP、客户端工具、SQL命令、操作对象名、SQL语句等条件。白名单命中后识别为信任行为,黑名单命中后可识别为非法行为。
支持自定义操作行为策略,可设置风险级别、策略动作、数据库账号、策略周期、来源IP、客户端工具、命令、操作对象、SQL关键字、执行结果、行数、执行时长、时间周期、SQL语句等条件。
支持内置SQL注入特征库,对操作语句进行监测,发现SQL注入行为。
支持根据来源IP设定审计范围。包括:设定不审计指定来源IP的所有访问记录,其他IP均审计;设定仅审计指定来源IP的访问记录,其他IP均不审计。
自定义表达式策略支持设置与或非条件表达式规则,规则设置具有灵活性。
支持敏感数据审计策略,支持基于敏感数据发现结果设置相关的告警策略。
支持将用户行为模型转化成数据库访问安全基线,实时识别偏离数据库访问安全基线的异常行为并告警。
资产管理要求
支持自动发现镜像流量中的活跃数据库。支持自定义发现范围,包括数据库类型、IP地址、端口范围。
支持通过手动配置的方式进行数据库资产添加,配置包括资产名称、资产分组、资产类型、资产地址和端口、编码方式等必要参数以及版本、数据库账号密码、服务名等其他参数。
支持一键开启资产保护状态,对开启保护状态的数据库资产进行审计。
通过连接地址和端口对数据库的连通性进行测试。
通过数据库账号密码及连接地址和端口对数据库的可访问连接性进行测试。
内置敏感数据标签,用于静态扫描方式对数据库资产进行扫描并打标。
通过敏感数据扫描任务对数据库资产的敏感数据表、字段进行发现。
支持mysql、sqlserver加密访问流量审计。
统计报表要求
内置丰富的统计报表模板,至少提供55种。至少包括:综合报表,等保报表、PCI报表、SOX-法案报表等类型。
支持自定义报表功能,支持通过设置过滤条件和报表格式的方式创建自定义报表模板,可对自定义报表进行编辑和预览。
支持将关注的预定义和自定义报表模板添加到我的报表,减少下次重复操作。
支持按周期(时间细化到分钟)定时生成报表并且自动通过邮件发送给相关管理员
报表支持导出为PDF、CSV等报表格式。
支持报表预览,查看报表统计结果。
系统管理要求
支持手动设置系统时间,支持从NTP服务器进行时间同步。
支持将网口设置成管理接口,并配置接口IP、网关和DNS,支持将网口设置成审计口或心跳口。
审计采集插件支持远程推送。审计采集插件支持自动休眠,当所在数据库服务器的CPU、内存消耗超过阈值时,临时暂停抓包工作,避免与数据库服务器抢占资源。
支持系统登录账号的添加、删除和账号密码重置,支持通过导入方式进行账号添加
支持三权分立,默认提供系统管理员、安全管理员、审计管理员三个角账户。
支持对新添加的系统账号进行审核,支持根据操作员账号进行自动审核。
支持对系统登录方式、超时时间等登录安全,密码长度和复杂度等账号密码安全及允许登录IP等进行设置。
支持对系统自身审计,日志内容至少包括:用户名、来源IP、操作时间、操作内容、操作结果等。
支持将审计数据和配置数据备份到FTP服务器,支持将审计备份数据恢复到系统进行查看,支持将备份配置数据导入系统进行配置恢复。
支持对审计数据和配置通过手动方式进行清理,支持通过配置磁盘阈值或时间限制进行自动清理。
支持对系统自身运行状态进行实时监测,包括:CPU使用率、内存使用率、磁盘使用率、网卡流量等。
支持对系统内核、CPU&内存、磁盘及其IO、网口、服务端口等进行实时诊断。
支持对系统进行升级维护、恢复出厂设置等基础功能。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。